Vulnerabilidad en los parámetros GET keyword_search, search_radius. _bedrooms y _bathrooms en el plugin Realteo WordPress (CVE-2021-24237)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
22/04/2021
Última modificación:
07/11/2023
Descripción
El plugin Realteo WordPress versiones anteriores a 1.2.4, usado por Findeo Theme, no saneaba apropiadamente los parámetros GET keyword_search, search_radius. _bedrooms y _bathrooms antes de generarlos en su página de propiedades, conllevando a un problema de tipo Cross-Site Scripting reflejado no autenticado
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:purethemes:findeo:*:*:*:*:*:wordpress:*:* | 1.3.1 (excluyendo) | |
| cpe:2.3:a:purethemes:realteo:*:*:*:*:*:wordpress:*:* | 1.2.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://m0ze.ru/vulnerability/%5B2021-03-20%5D-%5BWordPress%5D-%5BCWE-79%5D-Findeo-WordPress-Theme-v1.3.0.txt
- https://m0ze.ru/vulnerability/%5B2021-03-20%5D-%5BWordPress%5D-%5BCWE-79%5D-Realteo-WordPress-Plugin-v1.2.3.txt
- https://wpscan.com/vulnerability/087b27c4-289e-410f-af74-828a608a4e1e
- https://www.docs.purethemes.net/findeo/knowledge-base/changelog-findeo/